熊 锋

（广州地铁设计研究院股份有限公司，广州 510010）

随着城市化进程的推进，城市轨道交通也在不断发展。基于通信的列车自动控制系统CBTC（Communication Based Train Control System）逐渐发展成熟并被业界认可，在全国各大城市的轨道交通建设中推广应用。不过，随着城市轨道交通线路及CBTC 系统的落地实践数量增加，现有城市轨道交通信号系统的结构性问题也逐渐暴露出来，如不同层级子系统依赖性过高、各种数据接口多而复杂、系统较为封闭信息闭塞等[1]。这些问题导致了线网层级的信号系统设备利用率较低，增加了建设投资维护成本，并制约了线网统筹运营管理，提高了互联互通、维护改造的执行难度。

云技术的兴起和发展为解决这些问题带来了机遇。2020 年，《中国城市轨道交通智慧城轨发展纲要》提出要建设以城轨云平台为基础的新一代轨道交通体系，为各类信息系统应用提供服务，以实现城市轨道交通的智慧化发展[2]。目前，信号系统安全云平台仍然主要处于初步构想和设计阶段，鲜有相关案例。不过由于云技术具有轻量性和通用性等优势，信号系统与云技术结合应用具有巨大的潜力，是未来信号系统发展研究的重要方向。

1 CBTC 信号系统及云技术

1.1 现有信号系统及其局限性

CBTC信号系统，是指采用车地通信技术实现车载设备及地面设备双向通信，由移动闭塞代替固定闭塞的连续式城轨列控系统，主要包括自动监控ATS子系统、自动防护ATP子系统、自动运行ATO子系统、联锁CI子系统、维护支持MSS子系统及数据通信DCS子系统6个关键子系统[3]。传统CBTC信号系统采用区域分散的控制方式，将线路划分为若干个控制区域，并设置相应的联锁、ATP等控制设备。根据部署位置不同，CBTC信号系统设备包括控制中心设备、车辆基地设备、集中站设备、非集中站设备、车载设备和轨旁设备等。

一方面，信号各子系统设备数量较多，不同层级间依赖性较强，且内部、外部接口繁多复杂，使得整个系统过于庞大冗杂；另一方面，由于考虑行车安全、采取分散控制等因素，信号系统与外部系统、信号系统各控制区之间均存在不同程度的信息孤岛，不利于实现信息资源共享。随着整个城市线网的建设，线路数量增加，设备利用率不高、运营效率难以提升等问题也越发显著。因此，目前传统CBTC 信号系统亟需进一步调整优化系统架构，降低系统复杂度，提升设备资源利用效率，减少内外接口数量，以达到常用资源通用化、轨旁控制电子化、通信接口网络化、维护监测集中化和信号系统轻量化等目的[4]。

1.2 云技术及其特性

云技术是通过网络技术与虚拟化技术结合，采用分布式计算方式按需为各种业务提供超大容量存储空间及超强计算能力。云平台主要包含基础设施IaaS、平台PaaS、软件SaaS 3 大种类服务，而根据安全部署策略不同，则可将云平台划分为私有云、公有云及混合云等[5]。根据城市轨道交通的需求特点，云平台可通过采用私有云的方式，为信号系统提供IaaS 服务部署安全生产网，即搭建信号系统安全云平台。此种方式具有通用性强、可拓展性高、数据共享方便、安全性好、客户端需求低及性价比高等优点。云技术的特性不仅与信号系统的安全性、实时性等基本需求相吻合，而且可以满足信号系统通用化、网络化和轻量化的发展需求，以实现减少建设成本、提高资源利用效率、降低运维难度、使接口通用化和数据集中化等目标。

2 信号系统安全云平台

由于云的优越性，可利用云平台虚拟化技术，为信号系统提供应用服务支持。信号系统安全云平台这一概念不仅包含为信号系统提供服务的安全云平台，在广义维度上，也指代一种基于云技术的新一代信号系统安全平台。因此，搭建信号系统安全云平台，需要充分结合信号系统的专业特点进行架构设计。

2.1 基本架构

信号系统不仅包含ATP、CI 等与行车安全密切相关、安全性需求高的子系统，也包含ATS、MSS 等安全性需求适中的子系统。根据安全需求的不同，信号云平台可以划分为2 部分，其中涉及列车运行控制安全功能的部分为行车安全云，具体包括测速测距、移动授权计算、联锁逻辑处理和安全数据交互等；而其他如仅涉及调度指挥、设备维护诊断功能的部分则为通用安全云。安全云服务器应与硬件绑定，并与非安全云或其他云的硬件实现物理隔离，保证安全云应用服务对于硬件资源独享性，确保整个逻辑计算处理存储过程的独立安全。此外，传统CBTC 信号系统包括许多嵌入式系统设备，在信号系统功能上云后，尽管新的云平台硬件、软件会替代部分原有信号系统设备，但也有一些重要功能无法通过虚拟化方式实现，如采集、执行、供电等功能。因此，仍需保留相关功能设备并部署于安全云平台边缘，包括轨旁设备（如转辙机、信号机、计轴和应答器等）、列车车载设备、执行单元、硬件接口单元及电源设备等。根据上述分析，可得到信号系统安全云平台基本架构，其示意图如图1 所示。

图1 信号系统安全云平台基本架构示意图

根据示意图可知，通过借助云平台技术，传统信号系统功能应用可部署于行车安全云或通用安全云上，同时也保留一些终端设备位于云边缘，用于实现信号系统的设备控制、状态监测等功能，从而最终共同实现列车的安全运行及控制。

2.2 系统构成

基于信号系统安全云平台的基本架构，并结合信号系统的区域分散控制特点，可以根据实现功能及部署位置的不同，将信号系统安全云平台划分为以下4个部分。

1）控制中心部分。主要由中央级安全云平台及控制中心云边缘设备组成，是信号系统安全云平台的大脑，用于实现中央级别的信号调度指挥、状态监测，以及云计算、云存储等业务，并下达相关指令。可按照冗余性原则设置灾备中心，根据业务的重要性及需求不同，对信号云进行备份。

2）车站/段场部分。主要由车站级安全云平台及车站/段场云边缘设备组成，与控制中心部分、轨旁部分及车载部分连接，用于实现车站级信号设备的状态监测及云计算、云存储等业务，接受来自控制中心的命令，并对所在控区的列车及轨旁设备进行管辖。当控制中心发生故障或与中心发生网络故障时，可以切换为由车站进行后备级应用服务。

3）轨旁部分。主要由轨旁云边缘设备组成，与车站/段场部分直接连接，用于采集、传输位于轨旁的信号设备状态等数据，接受并执行相关控制命令。

4）车载部分。主要由列车云边缘设备组成，与车站/段场部分直接连接，用于采集、传输列车车载信号设备的状态等数据，接受并执行相关控制命令。

虽然为了保证信号系统的技术升级连续性及可实施性[6]，采用了与传统信号系统相同的区域分散控制方式对系统构成进行划分，但由于信号系统安全云平台使用云平台技术提供了中央级和车站级的调度指挥、逻辑处理、状态监测和计算存储等业务服务，使得信号系统的设备、接口数量有所减少，并大大提升了云平台内的数据信息交互效率。信号系统安全云平台具有更加集约化、高效化的特点。

2.3 中央级安全云平台

中央级云平台部署于控制中心，主要为信号系统ATS 子系统提供云服务，实现监控管理全线范围信号系统的业务。中心级云平台包含主用控制中心、备用控制中心2 套设备，主要由中央级服务器（用于云平台等业务）、工作站、硬件接口设备和电源设备等构成，其示意图如图2 所示。

传统ATS 中央级服务器主要包括应用服务器、数据库服务器、通信前置机等机柜。ATS 云化后，传统ATS 中央级服务器的逻辑处理、计算存储等功能则改为由云平台服务器实现。通过借助云平台内的资源管理系统，将不同ATS 应用服务分配于不同的硬件上，并配置冗余计算单元，确保在发生故障时，可以快速无缝切换到备用服务器上，保证中央级云平台的可靠性。此外，考虑到灾备要求，还需要另设置一套备用控制中心的中央级云平台设备，备用控制中心可设置于车辆段。备用控制中心的中央级云平台设备需要与主用控制中心的中央级云平台保持相互独立运行，并满足主备中心设备快速切换的实时性要求。由于备用中心仅在特殊情况下临时使用，因此在满足可实现控制中心基本功能的情况下，备用控制中心云平台设备采用单机的简化配置方式即可。

在工作站部署方面，用于操作实现与列车运行安全无关的系统功能可采用云桌面的方式，在通用操作工作站利用软件部署实现，以最大化利用硬件资源；而涉及列车运行安全相关功能的操作实现则根据需求单独设置实体工作站，不纳入云平台部署范围。

2.4 车站级安全云平台

车站级云平台部署于信号设备集中站或者车辆基地，主要为联锁、ATP 子系统等提供云服务，实现列车进路控制及轨旁设备资源管理等功能。根据部署车站/段场的需求，车站级云平台可包括车站级服务器（用于云平台等业务）、执行单元（含工作站）、硬件接口设备和电源设备等。车站级云平台通过冗余网络与控制中心、列车等进行数据交互，受到中央级云平台的监视与控制，接收轨旁、车载等设备的状态，并输出指令控制轨旁设备，其示意图如图3 所示。

图3 车站级安全云平台示意图

通过将联锁设备、地面ATP 设备的逻辑处理计算与控制执行2 大功能进行分离，使联锁、ATP 子系统的计算处理需求统一整合由部署于车站级安全云平台上的列车运行控制资源管理软件实现。但同时也在云边缘保留硬件设备作为执行单元，用于接收来自车站级安全云平台的指令，并实现列车运行安全相关的操作控制等。考虑到紧急站控或者执行单元与车站级安全云平台发生通信故障的情况，执行单元可以保留对轨旁设备的人工操控功能。通过车站级安全云平台的功能分离及整合，联锁及地面ATP 的设备需求数量减少，节约了建设维护成本，并精简了数据交互接口，降低了数据交互量。

3 安全性要求

由于涉及行车安全，信号系统安全云平台除了需满足基本的系统功能需求外，还需要符合相应的安全性要求。结合信号系统及云平台的特点，信号系统安全云平台应至少保证系统及业务的安全，其安全性要求可总结如下。

系统安全。满足信息安全三级等保要求，确保系统主机安全、网络安全等。

业务安全。云平台需满足与业务要求一致的SIL等级要求，保证安全性、可靠性。

根据信号系统安全云平台的基本架构，云平台部分包括行车安全云和通用安全云。信号系统中与行车安全密切相关的子系统，如联锁、ATP 等子系统一般需满足SIL4 安全等级，而其他子系统如ATS 子系统等则满足SIL2 安全等级即可[7-9]。由于系统功能上云后云平台部分也应满足相应的安全等级要求，因此，行车安全云需满足SIL4 安全等级，而通用安全云则需满足SIL2安全等级。此外，为了避免单一随机故障的影响，信号系统安全云平台也需要采用多重冗余的方式，将云业务按需分配在相互独立的物理单元上运行，分别独立计算并通过比较表决得到输出结果，以保证系统的可靠性运行。

4 结束语

云技术与城市轨道交通系统专业的深度融合是未来轨道交通行业发展的一个重要方向。相较于传统信号系统，信号系统安全云平台充分利用了云平台的接口通用化、数据集中化优点，物理硬件及接口更少，进一步提高了资源利用效率，降低了建设运维成本，朝着更加通用化、网络化、轻量化的方向发展。根据城市轨道交通的高安全需求，未来仍需继续针对信号系统安全云平台进行应用研究，结合各种运营场景深化完善系统方案设计，为早日真正落地实施提供支持。